Por Redacción - 9 Julio 2019
¿Es esta la primera gran multa vinculada a la normativa de protección de datos europea? El Reglamento General de Protección de Datos (RGPD, pero más conocida por sus siglas en inglés GDPR) entró en vigor hace ahora algo más de un año. La normativa, que se aplica en toda la Unión Europea, creaba un marco jurídico más rígido en protección de datos y obligaba a las compañías a asumir una mayor responsabilidad en la protección de la información personal de los consumidores. Además, prometía multas más severas para quienes infringían esa normativa. Todo ello creó un escenario de pánico en el mundo empresarial, en el que las empresas temían lo que les podía pasar o hacer las cosas mal.
Sin embargo, en su primer año de vida parecía que la ley no había tenido un impacto tan tremendo. Esto es, en su primer año no había generado ningún gran titular asociado a una gran multa. Las grandes multas europeas habían venido por otras cuestiones.
Pero podría haber terminado justo ahora. British Airways se enfrenta a una multa millonaria y, paradójicamente (teniendo en cuenta que es una compañía británica para la que el Brexit es uno de sus recurrentes problemas), podría ser la primera protagonista de una gran multa en el marco de la GDPR.
¿Qué es exactamente lo que ha hecho mal la aerolínea británica? En este caso, la cuestión no es tanto lo que ella ha hecho mal como lo que no ha hecho para que otros no lo hicieran.
El organismo regulador del mercado británico, la Information Commissioners Office (ICO), ha impuesto una multa de 183 millones de libras esterlinas a British Airways por un fallo de seguridad. Al cambio son ligeramente algo más de 204 millones de euros. La ICO no ha penalizado un mal uso de la información, sino que la aerolínea no tuviese una estructura lo suficientemente sólida como para evitar el robo de información personal.
En junio del año pasado, British Airways protagonizó una brecha de seguridad. Los hackers accedieron a información completa sobre los consumidores de la aerolínea, como datos de login, de sus tarjetas de crédito o de sus reservas de viaje, así como su nombre y dirección. Los clientes de la aerolínea eran derivados por los hackers desde la web de la compañía a una web falsa, que era al que empleaban los cibercriminales para robar la información.
En total, cerca de medio millón de consumidores fueron víctimas del fraude, que British Airways denunció públicamente en septiembre de ese mismo año.
El organismo regulador británico - aunque reconoce que la aerolínea ha cooperado con la investigación y que ha mejorado su seguridad - señala que esto ocurrió porque la compañía tenía un sistema pobre de protección. El fallo es uno de los que la ley europea penaliza. Según la norma europea, las compañías pueden ser penalizadas con hasta el 4% de sus ingresos (la multa supone el 1,5% de los ingresos de la aerolínea en 2017).
De hecho, la normativa europea es lo que hace que la multa sea tan elevada y lo que hace que sea ya la más alta registrada en Reino Unido. Las anteriores, que incluyen también la impuesta a Facebook por toda la debacle de Cambridge Analytica, no habían estado bajo el amparo de la GDPR, como recuerdan en un análisis en la BBC. La multa propuesta es, de hecho, 367 veces más elevada que la impuesta a Facebook entonces (aunque podría serlo todavía más si fuese hasta el máximo del 4% permitido).
Por ahora, eso sí, British Airways no tiene que pagar. Tiene todavía 28 días para reclamar y para defender sus posiciones. Sus directivos ya han dicho que están sorprendidos y que la multa es desproporcionada. "Cuando una organización falla a la hora de protegerlos (los datos personales) de pérdida, daño o robo es más que una molestia", había dicho Elizabeth Denham, la máxima responsable del ICO, al presentar la propuesta de multa. "La ley es clara, cuando se te confían unos datos personales tienes que cuidarlos", añadía.